AS
в том что для мобильного приложения токен это не сессионная кука
Size: a a a
2021 March 08
AS
это вообще другая сущность и для нее ЕСТЬ адекватные механизмы защиты
AS
pkce тот же
AS
secure enclave чтобы держать его нормально
AS
а не вот это вот все за счет проседающего UX
MH
Если это порт веб-приложения на мобильное устройство, то может, захотели переиспользовать механизм аутентификации, который уже был
a
у какого там %% народа труба лочится чем-то вроде пароля?
AS
а это тут причем вообще?
AS
Если это порт веб-приложения на мобильное устройство, то может, захотели переиспользовать механизм аутентификации, который уже был
а за такое бьют подсвешниками
SK
"на всякий случай" надо нормальные сценарии отызыа иметь
Ну вот чо ты? Большинство молчит значит намана)))
SK
Задача бизнеса убрать риски, а какой-то упоротый эксперт заявил что это риск и фсе.
AS
дать бы ему молотком по голове
MH
@vkm_bot 👈 more music
SK
Мы вчера в клабхаузе с Беловым и компанией обсуждали этот топик
SK
И пришли к выводу, что большинство уязвимостей надуманы откровенно
MH
в том что для мобильного приложения токен это не сессионная кука
Короче, похоже, конкретно в твоем приложении (и в тех, на которые ссылаешься) токен - это как раз сессионная кука
AS
ну это потому что его делали рукожопы которые не умеют в pkce
оставим за кадром то что украсть сессионную куку из мобильного приложения тоже так себе сценарий атаки
оставим за кадром то что украсть сессионную куку из мобильного приложения тоже так себе сценарий атаки
AS
то есть они, дебилы, не умеют сделать персистентный токен, а ты мучайся вводи пароли дурацкие
a
а если трубу уведут? )
AS
а если трубу уведут, то это сценарий "terminate my previous sessions"